CN113890746B - 攻击流量识别方法、装置、设备以及存储介质 - Google Patents
攻击流量识别方法、装置、设备以及存储介质 Download PDFInfo
- Publication number
- CN113890746B CN113890746B CN202110938516.0A CN202110938516A CN113890746B CN 113890746 B CN113890746 B CN 113890746B CN 202110938516 A CN202110938516 A CN 202110938516A CN 113890746 B CN113890746 B CN 113890746B
- Authority
- CN
- China
- Prior art keywords
- flow
- identified
- traffic
- processor
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 82
- 238000001514 detection method Methods 0.000 claims abstract description 76
- 230000002159 abnormal effect Effects 0.000 claims abstract description 72
- 238000004590 computer program Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 description 20
- 230000008901 benefit Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 10
- 230000032683 aging Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 230000000694 effects Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000004140 cleaning Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000036962 time dependent Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种攻击流量识别方法、装置、设备以及存储介质,该方法包括:第一处理器对接收到的业务流量进行流量学习,并根据预设的流量识别模型对接收到的业务流量进行识别,第一处理器若识别出异常流量,将流量识别阈值发送至第二处理器,并将待识别流量牵引至第二处理器,流量识别阈值为第一处理器对异常流量和接收到异常流量之前的预设时间段内接收到的业务流量进行流量学习得到,待识别流量包括异常流量或源地址与异常流量的源地址相同的业务流量,第二处理器根据流量识别阈值,对检测时间内接收到的至少一条待识别流量进行攻击流量识别。从而,可以提高攻击流量识别的准确率。
Description
技术领域
本申请涉及计算机网络技术领域,尤其涉及一种攻击流量识别方法、装置、设备以及存储介质。
背景技术
随着计算机网络技术的发展,基于网络连接的安全问题日益突出。分布式拒绝服务攻击(Distributed Denial of Service,DDoS),是网络安全问题中一种易于发动、难以防御、破坏性极高的攻击手段。具体地,DDoS是指处于不同位置的多个攻击者同时向至少一个目标服务器发动攻击(即虚假的数据请求报文),或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对目标服务器同时发动攻击,进而导致目标服务器拥塞而无法对外提供正常的网络服务。由于攻击的发出点是分布在不同地方的,因此这类攻击称为分布式拒绝服务攻击。如何防御DDoS,一般需要及时准确的识别攻击流量,并对识别出的攻击流量进行拦截或丢弃等处理,因此攻击流量的识别对于防御DDoS而言非常关键。
现有技术中,是通过中央处理器(CPU)或网络处理器根据预设的阈值进行攻击流量识别,其中的阈值是根据人工经验设置的。
由于阈值是根据人工经验设置,上述方法中识别攻击流量的准确率较低,影响DDoS的防御效果,例如,若阈值设置的过低,会导致较多的正常流量被识别为攻击流量而进行拦截,影响拦截率;若阈值设置的过高,会导致攻击流量未被拦截,使得目标服务器遭受攻击的概率较大。
发明内容
本申请提供一种攻击流量识别方法、装置、设备以及存储介质,以解决识别异常流量的准确率较低的问题。
第一方面,本申请提供一种攻击流量识别方法,所述方法应用于攻击流量识别装置,所述攻击流量识别装置包括第一处理器和第二处理器,所述方法包括:
第一处理器对接收到的业务流量进行流量学习,并根据预设的流量识别模型对接收到的业务流量进行识别;
所述第一处理器若识别出异常流量,将流量识别阈值发送至所述第二处理器,并将待识别流量牵引至第二处理器,所述流量识别阈值为所述第一处理器对所述异常流量和接收到所述异常流量之前的预设时间段内接收到的业务流量进行流量学习得到,所述待识别流量包括所述异常流量或源地址与所述异常流量的源地址相同的业务流量;
所述第二处理器根据所述流量识别阈值,对检测时间内接收到的至少一条所述待识别流量进行攻击流量识别。
可选的,所述第二处理器根据所述流量识别阈值,对检测时间内接收到的至少一条所述待识别流量进行攻击流量识别,包括:
所述第二处理器对检测时间内接收到的至少一条所述待识别流量进行统计,得到每条所述待识别流量的统计信息;
所述第二处理器根据每条所述待识别流量的统计信息和所述流量识别阈值,识别每条所述待识别流量是否是攻击流量。
上述申请中的另一个实施例具有如下优点或者有益效果:通过第二处理器对检测时间内接收到的至少一条待识别流量进行统计,得到每条待识别流量的统计信息,根据每条待识别流量的统计信息和流量识别阈值,识别每条待识别流量是否是攻击流量。从而可以实现对检测时间内接收到的待识别流量的识别。
可选的,所述第二处理器对检测时间内接收到的至少一条所述待识别流量进行统计,得到每条所述待识别流量的统计信息,包括:
所述第二处理器对检测时间内接收到的至少一条所述待识别流量建立流表,所述流表中包括每条所述待识别流量的五元组信息、每条所述待识别流量的类型和所述流表建立时间;
所述第二处理器对所述流表中的每条所述待识别流量进行统计,得到每条所述待识别流量的统计信息,所述统计信息包括构成每条所述待识别流量的至少一个报文中每个报文的统计值;
将每条所述待识别流量的统计信息存储在缓存中。
上述申请中的另一个实施例具有如下优点或者有益效果:通过先对检测时间内接收到的至少一条所述待识别流量建立流表,然后再对流表中的每条所述待识别流量进行统计,得到每条所述待识别流量的统计信息,实现了每条所述待识别流量的统计信息的获取。
可选的,所述第二处理器根据每条所述待识别流量的统计信息和所述流量识别阈值,识别每条所述待识别流量是否是攻击流量,包括:
所述第二处理器依次读取所述缓存中存储的每条所述待识别流量的统计信息,对于每条所述待识别流量的统计信息,将所述待识别流量的统计信息与所述流量识别阈值进行比对,所述流量识别阈值包括至少一个攻击类型的阈值;
若构成所述待识别流量的至少一个报文中有一个或多个报文的统计值大于或等于对应的攻击类型的阈值,则确定所述待识别流量是攻击流量;
若构成所述待识别流量的至少一个报文中所有报文的统计值均小于对应的攻击类型的阈值,则确定所述待识别流量是正常流量。
上述申请中的另一个实施例具有如下优点或者有益效果:通过对于每条待识别流量的统计信息,将待识别流量的统计信息与流量识别阈值进行比对,若构成待识别流量的至少一个报文中有一个或多个报文的统计值大于或等于对应的攻击类型的阈值,则确定待识别流量是攻击流量,否则确定待识别流量是正常流量,从而,实现了攻击流量的识别。
可选的,所述缓存包括第一缓存区和第二缓存区,所述第二处理器将每条所述待识别流量的统计信息存储在缓存中,包括:
所述第二处理器从所述第一缓存区和所述第二缓存区中查找当前状态为可写入状态的第一目标缓存区;
所述第二处理器将所述检测时间内接收到的每条所述待识别流量的统计信息存储在所述第一目标缓存区中;
所述第二处理器设置所述第一目标缓存区的标志位为第一标志位,所述第一标志位用于指示所述第一目标缓存区的状态为可读状态。
上述申请中的另一个实施例具有如下优点或者有益效果:通过将缓存分为第一缓存区和第二缓存区,第一个检测时间使用第一缓存区进行统计,第二个检测时间使用第二缓存区进行统计,检测时间结束后切换所使用的统计空间,这样不需要需对每个待识别流量进行时效判断,因为一个缓存区处理完即清零。采用该方式可以节省缓存空间,同时节省计算时间以及资源开销,提升***的性能。
可选的,所述第二处理器依次读取所述缓存中存储的每条所述待识别流量的统计信息,包括:
所述第二处理器依次读取当前状态为可读状态的第二目标缓存区中存储的每条所述待识别流量的统计信息,在读取完后设置所述第二目标缓存区的标志位为第二标志位,所述第二标志位用于指示所述第一目标缓存区的状态为可写状态。
上述申请中的另一个实施例具有如下优点或者有益效果:在对每条待识别流量进行攻击流量识别时,不需要需对每个待识别流量进行时效判断,可以节省缓存空间,同时节省计算时间以及资源开销,提升***的性能。
可选的,所述第二处理器对检测时间内接收到的至少一条所述待识别流量进行统计,包括:
所述第二处理器获取黑名单和白名单;
所述第二处理器将所述检测时间内接收到的至少一条所述待识别流量中命中所述黑名单的待识别流量丢弃,将命中所述白名单的待识别流量透传,所述命中黑名单的待识别流量为五元组信息与所述黑名单中的任一五元组信息相同的待识别流量,所述命中白名单的待识别流量为五元组信息与所述白名单中的任一五元组信息相同的待识别流量;
所述第二处理器对所述检测时间内接收到的至少一条所述待识别流量中未命中所述黑名单和所述白名单的待识别流量进行统计。
上述申请中的另一个实施例具有如下优点或者有益效果:通过在对检测时间内接收到的至少一条待识别流量之前,获取黑名单和白名单,将命中黑名单的待识别流量丢弃,将命中白名单的待识别流量透传,只对未命中黑名单和白名单的待识别流量进行后续统计,可以减少统计的待识别流量数量,更进一步提高攻击流量识别的效率,便于实现大流量、低延迟的攻击流量识别。
可选的,所述第二处理器获取黑名单和白名单,包括:
所述第二处理器将识别出的攻击流量发送给所述第一处理器;
所述第一处理器对接收到的所述攻击流量进行虚假源检测,若通过所述虚假源检测,则将所述攻击流量的五元组信息加入所述白名单中,若未通过所述虚假源检测,则将所述攻击流量的五元组信息加入所述黑名单中;
所述第二处理器接收所述第一处理器发送的所述黑名单和所述白名单。
上述申请中的另一个实施例具有如下优点或者有益效果:通过第二处理器将识别出的攻击流量发送给第一处理器,由第一处理器对接收到的攻击流量进行虚假源检测,根据检测结果得到黑白名单,保证了黑白名单获取的准确性。
第二方面,本申请提供一种攻击流量识别装置,包括:第一处理器和第二处理器;
所述第一处理器用于:
对接收到的业务流量进行流量学习,并根据预设的流量识别模型对接收到的业务流量进行识别;
若识别出异常流量,将流量识别阈值发送至所述第二处理器,并将待识别流量牵引至第二处理器,所述流量识别阈值为所述第一处理器对所述异常流量和接收到所述异常流量之前的预设时间段内接收到的业务流量进行流量学习得到,所述待识别流量包括所述异常流量或源地址与所述异常流量的源地址相同的业务流量;
所述第二处理器用于:
根据所述流量识别阈值,对检测时间内接收到的至少一条所述待识别流量进行攻击流量识别。
第三方面,本申请提供一种攻击流量识别设备,包括:处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行第一方面或第一方面各可能的实施方式中任一所述的攻击流量识别方法。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面或第一方面各可能的实施方式中任一所述的攻击流量识别方法。
第五方面,本申请实施例提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现第一方面或第一方面各可能的实施方式中任一所述的攻击流量识别方法。
本申请提供的攻击流量识别方法、装置、设备以及存储介质,由第一处理器对接收到的业务流量进行流量学习,并根据预设的流量识别模型对接收到的业务流量进行识别,若第一处理器识别出异常流量,则将流量识别阈值发送至第二处理器,并将待识别流量(包括异常流量和源地址与异常流量的源地址相同的业务流量)牵引至第二处理器,由第二处理器根据流量识别阈值对检测时间内接收到的至少一条所述待识别流量进行攻击流量识别,由于流量识别阈值为对所述异常流量和接收到所述异常流量之前的预设时间段内接收到的业务流量进行流量学习得到,即为第一处理器对历史业务流量学习得到的,相比较根据人工经验设置的流量识别阈值而言准确性更高,因此识别攻击流量的准确率较高。且通过第一处理器和第二处理器结合处理的这种方式,可以提高攻击流量识别的效率,可实现大流量、低延迟的攻击流量识别。
附图说明
图1为本申请实施例提供的攻击流量识别方法的一种应用场景示意图;
图2为本申请实施例提供的一种攻击流量识别方法的流程图;
图3为本申请实施例提供的一种攻击流量识别方法实施例的流程图;
图4为本申请实施例提供的一种攻击流量识别方法中第二处理器的处理过程示意图;
图5为本申请实施例提供的一种攻击流量识别方法实施例的流程图;
图6为本申请实施例提供的一种攻击流量识别方法中报文的处理流程示意图;
图7为本申请实施例提供的一种攻击流量识别方法的流程图;
图8为本申请实施例提供的一种攻击流量识别装置的结构示意图;
图9为本申请实施例提供的一种攻击流量识别设备的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
本申请实施例的说明书、权利要求书及附图中的术语“第一”和“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请实施例的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
相关技术中,由于用来识别是否是攻击流量的阈值是根据人工经验设置,因此识别攻击流量的准确率较低,影响DDoS的防御效果。为解决这一问题,本申请实施例提供一种攻击流量识别方法、装置、设备以及存储介质,通过设置两个处理器,由第一处理器对接收到的业务流量进行流量学习,并根据预设的流量识别模型对接收到的业务流量进行识别,若第一处理器识别出异常流量,则将流量识别阈值发送至第二处理器,并将待识别流量(包括异常流量和源地址与异常流量的源地址相同的业务流量)牵引至第二处理器,由第二处理器根据流量识别阈值对检测时间内接收到的至少一条待识别流量进行攻击流量识别,由于流量识别阈值为对异常流量和接收到异常流量之前的预设时间段内接收到的业务流量进行流量学习得到,即为第一处理器对历史业务流量学习得到的,相比较根据人工经验设置的流量识别阈值而言准确性更高,因此识别攻击流量的准确率较高。
首先,对本申请实施例涉及的应用场景进行示例说明。
本申请实施例提供的攻击流量识别方法至少可以应用于下述应用场景中,下面结合附图进行说明。
示例性的,图1为本申请实施例提供的攻击流量识别方法的一种应用场景示意图,如图1所示,包括网络设备A1、网络设备A2和攻击流量识别装置3,网络设备A1可以是路由器,网络设备A2可以为服务器。攻击流量识别装置3可以设置在A1与A2之间,攻击流量识别装置3与A1和A2连接,可以是通过网络连接,攻击流量识别装置3从A1接收业务流量,执行本申请实施例提供的攻击流量识别方法,在没有识别出攻击流量的时候,流量透传(即直接从A1转发至A2),A1的IP地址为源地址,A2的地址为目的地址。当识别出攻击流量时,例如A2遭受到了DDOS攻击即可识别出攻击流量,攻击流量识别装置3对攻击流量进行拦截,例如将攻击流量丢弃。
下面以具体的实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图2为本申请实施例提供的一种攻击流量识别方法的流程图,该攻击流量识别方法可以由攻击流量识别装置执行,该攻击流量识别装置包括第一处理器和第二处理器,如图2所示,本实施例的方法可以包括:
S101、第一处理器对接收到的业务流量进行流量学习,并根据预设的流量识别模型对接收到的业务流量进行识别。
具体地,本实施例中的攻击流量识别装置也可以称为DDOS攻击识别清洗装置,第一处理器可以从路由器接收报文,路由器可以通过分光或镜像的方式将业务流量发送至第一处理器。第一处理器接收到业务流量后,根据预设的流量识别模型对接收到的业务流量进行流量识别,可选的,预设的流量识别模型可以是基于熵的机器学习模型,通过预设的流量识别模型对接收到的业务流量进行实时的DDOS攻击检测。若当前预设时间段未识别出异常流量,第一处理器对当前预设时间段的业务流量进行学习,得到流量识别阈值发送给第二处理器,供下一时间段第二处理器使用。若识别出异常流量,则执行S102。
S102、第一处理器若识别出异常流量,将流量识别阈值发送至第二处理器,并将待识别流量牵引至第二处理器,流量识别阈值为第一处理器对异常流量和接收到异常流量之前的预设时间段内接收到的业务流量进行流量学习得到,待识别流量包括异常流量或源地址与异常流量的源地址相同的业务流量。
具体地,第一处理器若识别出异常流量,则将对异常流量和接收到异常流量之前的预设时间段内接收到的业务流量进行流量学习得到的流量识别阈值发送至第二处理器,可选的,还可以不设置预设时间段,即流量识别阈值为第一处理器对异常流量和接收到异常流量之前接收到的业务流量进行流量学习得到。可以理解的是,流量识别阈值是第一处理器对历史业务流量学习得到。第一处理器若识别出正常流量,则将正常流量透传。
作为一种可实施的方式,第一处理器对异常流量和接收到异常流量之前的预设时间段内接收到的业务流量进行流量学***均数量作为流量识别阈值。
可选的,不同攻击类型是对报文不同元素进行统计,本申请实施例中,一条流量包括多个报文,报文都是IP包,不同报文中携带的信息是不同的,根据报文携带的信息的不同,在对报文携带的信息进行统计时,可以得到不同的统计值,这些统计值对应的是不同的攻击类型。
攻击类型可以包括TCP泛洪(Flood)攻击和UDP Flood攻击,TCP泛洪攻击又分为SYN Flood攻击、SYN+ACK Flood攻击、ACK Flood攻击、FIN/RST Flood攻击、TCP新建连接Flood攻击和TCP PPS Flood攻击等。
具体地,第一处理器识别出异常流量时,将该异常流量或源地址与异常流量的源地址相同的业务流量进行流量牵引,牵引至第二处理器,由第二处理器来处理,具体是进行攻击流量识别以及清洗等。可以理解的是,第一处理器不对异常流量做处理,而是牵引至第二处理器由第二处理器处理,第一处理器将正常流量透传,透传是指将流量由源地址传输到目的地址。第一处理器将待识别流量牵引至第二处理器后,还可以继续学习和识别后续接收到的业务流量。通过第一处理器和第二处理器结合处理的这种方式,可以提高攻击流量识别的效率,可实现大流量、低延迟的攻击流量识别。而且,第二处理器在对异常流量进行攻击流量识别所依据的流量识别阈值是第一处理器根据历史业务流量学习得到,相比较根据人工经验设置的流量识别阈值而言准确性更高,因此识别攻击流量的准确率较高。
S103、第二处理器根据流量识别阈值,对检测时间内接收到的至少一条待识别流量进行攻击流量识别。
具体地,在一种可实施的方式中,第二处理器根据流量识别阈值对检测时间内接收到的至少一条待识别流量进行攻击流量识别,可以是针对每个待识别流量分别进行识别,若识别出待识别流量为攻击流量,则进行拦截或丢弃若识别出待识别流量为正常流量,则对正常流量透传。
本实施例提供的攻击流量识别方法,由第一处理器对接收到的业务流量进行流量学习,并根据预设的流量识别模型对接收到的业务流量进行识别,若第一处理器识别出异常流量,则将流量识别阈值发送至第二处理器,并将待识别流量(包括异常流量和源地址与异常流量的源地址相同的业务流量)牵引至第二处理器,由第二处理器根据流量识别阈值对检测时间内接收到的至少一条待识别流量进行攻击流量识别,由于流量识别阈值为对异常流量和接收到异常流量之前的预设时间段内接收到的业务流量进行流量学习得到,即为第一处理器对历史业务流量学习得到的,相比较根据人工经验设置的流量识别阈值而言准确性更高,因此识别攻击流量的准确率较高。且通过第一处理器和第二处理器结合处理的这种方式,可以提高攻击流量识别的效率,可实现大流量、低延迟的攻击流量识别。
图3为本申请实施例提供的一种攻击流量识别方法实施例的流程图,如图3所示,本实施例的方法在图2所示方法的基础上,可选的,上述S103可以通过如下步骤实现:
S1031、第二处理器对检测时间内接收到的至少一条待识别流量进行统计,得到每条待识别流量的统计信息。
具体来说,由于攻击检测是检测一段时间内某一被保护域(DIP,如目标服务器)遭受攻击的情况,因此需要在该段时间内完成攻击检测,该段时间即为检测时间,检测时间可以预设,在检测时间内,会接收到至少一条待识别流量。接收到一条待识别流量即对该待识别流量进行统计。
具体地,在一种可实施的方式中,S1031可以包括:
S10311、第二处理器对检测时间内接收到的至少一条待识别流量建立流表,流表中包括每条待识别流量的五元组信息、每条待识别流量的类型和流表建立时间。
具体地,五元组信息可以包括源地址(SIP)、目的地址(DIP)、源端口、目的端口和协议类型。其中,DIP也称为被保护域。
在对每条待识别流量建立流表时,流表中包括每条待识别流量的五元组信息、每条待识别流量的类型和流表建立时间,其中的类型可以包括新建、并发和老化,新建是指在流表中新建的待识别流量,并发是指在流表中建立过的待识别流量但是该待识别流量还未老化,老化是指待识别流量已过有效期。通过建立流表,可以使用五元组计算哈希(hash)值进行寻址,第二处理器可以针对新建和并发类型的待识别流量进行识别。可选的,本实施例中的流表可以采用包触发老化方式,即五元组信息相同的一条待识别流量再次到来时更新流表,如此时该条待识别流量老化时间已到,则老化该条待识别流量。这种老化方式无需额外的流表维护逻辑,从而能够节省一定的资源。
S10312、第二处理器对流表中的每条待识别流量进行统计,得到每条待识别流量的统计信息,统计信息包括构成每条待识别流量的至少一个报文中每个报文的统计值。
具体来说,一条待识别流量包括至少一个报文,即由至少一个报文构成,一条待识别流量的统计信息包括构成该待识别流量的至少一个报文中每个报文的统计值。
可选的,由于流表包括建立时间,可以根据预设的老化时间和建立时间确定该待识别流量是否老化,对老化的报文不作识别处理。对新建和并发类型的待识别流量进行识别处理。
S10313、第二处理器将每条待识别流量的统计信息存储在缓存中。
S1032、第二处理器根据每条待识别流量的统计信息和流量识别阈值,识别每条待识别流量是否是攻击流量。
相应地,S1032具体可以包括:
S10321、第二处理器依次读取缓存中存储的每条待识别流量的统计信息,对于每条待识别流量的统计信息,将待识别流量的统计信息与流量识别阈值进行比对,流量识别阈值包括至少一个攻击类型的阈值。
具体来说,一条待识别流量包括至少一个报文,报文都是IP包,不同报文中携带的信息是不同的,根据报文携带的信息的不同,在对报文携带的信息进行统计时,可以得到不同的统计值,这些统计值对应的是不同的攻击类型。流量识别阈值包括至少一个攻击类型的阈值,在将待识别流量的统计信息与流量识别阈值进行比对时,具体是依次比较每个统计值和每个攻击类型的阈值。
S10322、若构成待识别流量的至少一个报文中有一个或多个报文的统计值大于或等于对应的攻击类型的阈值,则确定待识别流量是攻击流量;若构成待识别流量的至少一个报文中所有报文的统计值均小于对应的攻击类型的阈值,则确定待识别流量是正常流量。
即就是说,可能存在一个大于或等于攻击类型的阈值的报文,也可能存在多个大于或等于攻击类型的阈值的报文,即就是可能命中一个攻击类型,也可能命中多种攻击类型,不管是一个还是多个,都确定待识别流量是攻击流量。
具体地,建立流表之后可以对待识别流量进行统计(即识别并处理),由于攻击流量的识别是检测一段时间内某一Dip遭受攻击情况,因此所有的统计项都需在该段时间内进行统计(识别是否是攻击流量并处理),超过该段时间后将统计清零,重新进行统计。
本实施例中,通过第二处理器对检测时间内接收到的至少一条待识别流量进行统计,得到每条待识别流量的统计信息,根据每条待识别流量的统计信息和流量识别阈值,识别每条待识别流量是否是攻击流量。从而可以实现对检测时间内接收到的待识别流量的识别。
进一步地,为了降低***开销,避免对每条待识别流量进行统计的同时还需计算该待识别流量是否有效,可以采用时分复用的方式进行统计。将缓存分为两部分即第一缓存区和第二缓存区,t1时间段使用第一缓存区进行统计,t2时间段使用第二缓存区进行统计,t1时间段结束后从第一缓存区切换到第二缓存区。这样无需对每条待识别流量进行时效判断,因为每个缓存区的统计时间结束即清零。下面对该方式具体说明。
在一种可实施的方式中,缓存包括第一缓存区和第二缓存区,S10313中第二处理器将每条待识别流量的统计信息存储在缓存中,可以为:
S201、第二处理器从第一缓存区和第二缓存区中查找当前状态为可写入状态的第一目标缓存区。
具体地,例如,缓存区的标志位为0时为可写入状态,为1时为可读状态。先查找标志位为0的缓存区。缓存区处于可写状态时,即可写入数据。
S202、第二处理器将检测时间内接收到的每条待识别流量的统计信息存储在第一目标缓存区中。
S203、第二处理器设置第一目标缓存区的标志位为第一标志位,第一标志位用于指示第一目标缓存区的状态为可读状态。
检测时间内的所有待识别流量存储在第一目标缓存区中后,第二处理器设置第一目标缓存区的标志位为第一标志位使得第一目标缓存区的状态为可读状态。
相应地,S10321中第二处理器依次读取缓存中存储的每条待识别流量的统计信息,具体可以为:
第二处理器依次读取当前状态为可读状态的第一目标缓存区中存储的每条待识别流量的统计信息,在读取完后设置第一目标缓存区的标志位为第二标志位,第二标志位用于指示第一目标缓存区的状态为可写状态。
在一种可实施的方式中,第二处理器可以包括流量缓存模块和统计模块,图4为本申请实施例提供的一种攻击流量识别方法中第二处理器的处理过程示意图,如图4所示,本实施例的方法可以包括:
S1、流量缓存模块对检测时间内接收到的至少一条待识别流量建立流表。
S2、第二处理器向统计模块发送待识别流量的统计请求。
S3、统计模块对流表中的每条待识别流量进行统计,得到每条待识别流量的统计信息,查找标志位为0的缓存区,并将流表中的待识别流量写入该缓存区。
其中,统计信息包括构成每条待识别流量的至少一个报文中每个报文的统计值。其中,缓存区的标志位为0时为可写入状态,为1时为可读状态。例如图4中所示当前第一缓存区的标志位为0,第二缓存区的标志位为1。
S4、第二处理器读取标志位为1的缓存区中存储的每条待识别流量的统计信息,在读取完后设置该缓存区的标志位为0,根据每条待识别流量的统计信息和流量识别阈值,识别每条待识别流量是否是攻击流量。
具体地,可以是将待识别流量的统计信息与流量识别阈值进行比对,流量识别阈值包括至少一个攻击类型的阈值,若构成待识别流量的至少一个报文中有一个或多个报文的统计值大于或等于对应的攻击类型的阈值,则确定待识别流量是攻击流量;若构成待识别流量的至少一个报文中所有报文的统计值均小于对应的攻击类型的阈值,则确定待识别流量是正常流量。
本实施例中,通过将缓存分为第一缓存区和第二缓存区,第一个检测时间使用第一缓存区进行统计,第二个检测时间使用第二缓存区进行统计,检测时间结束后切换所使用的统计空间,这样不需要需对每个待识别流量进行时效判断,因为一个缓存区处理完即清零。采用该方式可以节省缓存空间,同时节省计算时间以及资源开销,提升***的性能。
图5为本申请实施例提供的一种攻击流量识别方法实施例的流程图,如图5所示,本实施例的方法在图3所示方法的基础上,可选的,S1031具体可以包括:
S301、第二处理器获取黑名单和白名单。
作为一种可实施的方式,S301具体可以为:第二处理器将识别出的攻击流量发送给第一处理器,第一处理器对接收到的攻击流量进行虚假源检测,若通过虚假源检测,则将攻击流量的五元组信息加入白名单中,若未通过虚假源检测,则将攻击流量的五元组信息加入黑名单中,第二处理器接收第一处理器发送的黑名单和白名单。
S302、第二处理器将检测时间内接收到的至少一条待识别流量中命中黑名单的待识别流量丢弃,将命中白名单的待识别流量透传,命中黑名单的待识别流量为五元组信息与黑名单中的任一五元组信息相同的待识别流量,命中白名单的待识别流量为五元组信息与白名单中的任一五元组信息相同的待识别流量。
S303、第二处理器对检测时间内接收到的至少一条待识别流量中未命中黑名单和白名单的待识别流量进行统计。
具体地,第二处理器将命中黑名单的待识别流量丢弃,不进行统计,将命中白名单的待识别流量透传,可以提高***性能。
本实施例提供的方法,通过在对检测时间内接收到的至少一条待识别流量之前,获取黑名单和白名单,将命中黑名单的待识别流量丢弃,将命中白名单的待识别流量透传,只对未命中黑名单和白名单的待识别流量进行后续统计,可以减少统计的待识别流量数量,更进一步提高攻击流量识别的效率,便于实现大流量、低延迟的攻击流量识别。
下面结合一个具体的实施例,对本申请提供的攻击流量识别方法的详细过程进行说明。
图6为本申请实施例提供的一种攻击流量识别方法中报文的处理流程示意图,如图6所示,报文经路由器1到达攻击流量识别装置2,该攻击流量识别装置2包括第一处理器和第二处理器,第一处理器对接收到的业务流量进行流量学习,并根据预设的流量识别模型对接收到的业务流量进行识别,第一处理器若识别出异常流量,将流量识别阈值发送至第二处理器,并将待识别流量牵引至第二处理器,将正常流量透传,待识别流量包括异常流量或源地址与异常流量的源地址相同的业务流量,第二处理器根据流量识别阈值,对检测时间内接收到的至少一条待识别流量进行攻击流量识别。可选的,第一处理器还可以向第二处理器发送黑白名单。
图7为本申请实施例提供的一种攻击流量识别方法的流程图,如图7所示,本实施例的方法可以包括:
S401、第一处理器对接收到的业务流量进行流量学习,并根据预设的流量识别模型对接收到的业务流量进行识别。
S402、第一处理器若识别出异常流量,将流量识别阈值发送至第二处理器,并将待识别流量牵引至第二处理器。
其中,流量识别阈值为第一处理器对异常流量和接收到异常流量之前的预设时间段内接收到的业务流量进行流量学习得到,待识别流量包括异常流量或源地址与异常流量的源地址相同的业务流量。
S403、第二处理器对检测时间内接收到的至少一条待识别流量建立流表,流表中包括每条待识别流量的五元组信息、每条待识别流量的类型和流表建立时间。
S404、第二处理器对流表中的每条待识别流量进行统计,得到每条待识别流量的统计信息,统计信息包括构成每条待识别流量的至少一个报文中每个报文的统计值。
S405、第二处理器将每条待识别流量的统计信息存储在缓存中。
S406、第二处理器从第一缓存区和第二缓存区中查找当前状态为可写入状态的第一目标缓存区。
S407、第二处理器将检测时间内接收到的每条待识别流量的统计信息存储在第一目标缓存区中。
S408、第二处理器设置第一目标缓存区的标志位为第一标志位,第一标志位用于指示第一目标缓存区的状态为可读状态。
S409、第二处理器依次读取当前状态为可读状态的第一目标缓存区中存储的每条待识别流量的统计信息,对于每条待识别流量的统计信息,将待识别流量的统计信息与流量识别阈值进行比对,流量识别阈值包括至少一个攻击类型的阈值,在读取完后设置第一目标缓存区的标志位为第二标志位,第二标志位用于指示第一目标缓存区的状态为可写状态。
S410、若构成待识别流量的至少一个报文中有一个或多个报文的统计值大于或等于对应的攻击类型的阈值,则第二处理器确定待识别流量是攻击流量;若构成待识别流量的至少一个报文中所有报文的统计值均小于对应的攻击类型的阈值,则第二处理器确定待识别流量是正常流量。
S411、第二处理器将识别出的攻击流量发送给第一处理器。
S412、第一处理器对接收到的攻击流量进行虚假源检测,若通过虚假源检测,则将攻击流量的五元组信息加入白名单中,若未通过虚假源检测,则将攻击流量的五元组信息加入黑名单中。
S413、第一处理器将黑名单和白名单发送给第二处理器。
S414、第二处理器将命中黑名单的待识别流量丢弃,将命中白名单的待识别流量透传。
其中,命中黑名单的待识别流量为五元组信息与黑名单中的任一五元组信息相同的报文,命中白名单的待识别流量为五元组信息与白名单中的任一五元组信息相同的报文。
S415、第二处理器对检测时间内接收到的至少一条待识别流量中未命中黑名单和白名单的待识别流量进行统计。
具体是第二处理器对检测时间内接收到的至少一条待识别流量中未命中黑名单和白名单的待识别流量建立流表,接着执行S404-S410,即可识别出攻击流量和正常流量。
需要说明的是,黑白名单是第二处理器统计过一个检测时间内的待识别流量才能够获得。对后续的待识别流量的统计过程才可以使用黑白名单。黑白名单中五元组信息的数量随着第二处理器统计的待识别流量的数量增加而增加。
本申请实施例中,第一处理器可以为CPU,第二处理器可以为现场可编程门阵列(Field-Programmable Gate Array,FPGA)。可以利用FPGA的高速并行特点,可以更加高效的识别攻击流量,提高识别效率。
本实施例提供的方法,由于流量识别阈值为第一处理器对历史业务流量学习得到的,流量识别阈值较为准确合理,极大限度的避免了将正常流量作为攻击流量进行拦截。因为若流量识别阈值设置的较低,会有更多的正常流量被识别为攻击流量拦截;若流量识别阈值设置的较高,则会有一些攻击流量被放行,使得被保护域遭受攻击的概率较大。因此本实施例提供的方法能够提升整个***的拦截效果。
以下为本申请装置实施例,可以用于执行本申请上述方法实施例。对于本申请装置实施例中未披露的细节,可参考本申请上述方法实施例。
图8为本申请实施例提供的一种攻击流量识别装置的结构示意图,如图8所示,本实施例的装置可以包括:第一处理器11和第二处理器12,其中,
第一处理器11用于:
对接收到的业务流量进行流量学习,并根据预设的流量识别模型对接收到的业务流量进行识别;
若识别出异常流量,将流量识别阈值发送至第二处理器,并将待识别流量牵引至第二处理器,流量识别阈值为第一处理器对异常流量和接收到异常流量之前的预设时间段内接收到的业务流量进行流量学习得到,待识别流量包括异常流量或源地址与异常流量的源地址相同的业务流量;
第二处理器12用于:
根据流量识别阈值,对检测时间内接收到的至少一条待识别流量进行攻击流量识别。
可选的,第二处理器12用于:
对检测时间内接收到的至少一条待识别流量进行统计,得到每条待识别流量的统计信息;
根据每条待识别流量的统计信息和流量识别阈值,识别每条待识别流量是否是攻击流量。
可选的,第二处理器12具体用于:
对检测时间内接收到的至少一条待识别流量建立流表,流表中包括每条待识别流量的五元组信息、每条待识别流量的类型和流表建立时间;
对流表中的每条待识别流量进行统计,得到每条待识别流量的统计信息,统计信息包括构成每条待识别流量的至少一个报文中每个报文的统计值;
将每条待识别流量的统计信息存储在缓存中。
可选的,第二处理器12具体用于:
依次读取缓存中存储的每条待识别流量的统计信息,对于每条待识别流量的统计信息,将待识别流量的统计信息与流量识别阈值进行比对,流量识别阈值包括至少一个攻击类型的阈值;
若构成待识别流量的至少一个报文中有一个或多个报文的统计值大于或等于对应的攻击类型的阈值,则确定待识别流量是攻击流量;
若构成待识别流量的至少一个报文中所有报文的统计值均小于对应的攻击类型的阈值,则确定待识别流量是正常流量。
可选的,缓存包括第一缓存区和第二缓存区,第二处理器12具体用于:
从第一缓存区和第二缓存区中查找当前状态为可写入状态的第一目标缓存区;
将检测时间内接收到的每条待识别流量的统计信息存储在第一目标缓存区中;
设置第一目标缓存区的标志位为第一标志位,第一标志位用于指示第一目标缓存区的状态为可读状态。
可选的,第二处理器12具体用于:
依次读取当前状态为可读状态的第一目标缓存区中存储的每条待识别流量的统计信息,在读取完后设置第一目标缓存区的标志位为第二标志位,第二标志位用于指示第一目标缓存区的状态为可写状态。
可选的,第二处理器12还用于:
获取黑名单和白名单;
将检测时间内接收到的至少一条待识别流量中命中黑名单的待识别流量丢弃,将命中白名单的待识别流量透传,命中黑名单的待识别流量为五元组信息与黑名单中的任一五元组信息相同的待识别流量,命中白名单的待识别流量为五元组信息与白名单中的任一五元组信息相同的待识别流量;
对检测时间内接收到的至少一条待识别流量中未命中黑名单和白名单的待识别流量进行统计。
可选的,第二处理器12具体用于:
将识别出的攻击流量发送给第一处理器;
对接收到的攻击流量进行虚假源检测,若通过虚假源检测,则将攻击流量的五元组信息加入白名单中,若未通过虚假源检测,则将攻击流量的五元组信息加入黑名单中;
接收第一处理器发送的黑名单和白名单。
本申请实施例提供的装置,可执行上述方法实施例,其具体实现原理和技术效果,可参见上述方法实施例,本实施例此处不再赘述。
需要说明的是,应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分模块通过处理元件调用软件的形式实现,部分模块通过硬件的形式实现。例如,处理模块可以为单独设立的处理元件,也可以集成在上述装置的某一个芯片中实现,此外,也可以以程序代码的形式存储于上述装置的存储器中,由上述装置的某一个处理元件调用并执行以上处理模块的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起,也可以独立实现。这里的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
例如,以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(application specific integrated circuit,ASIC),或,一个或多个微处理器(digital signal processor,DSP),或,一个或者多个现场可编程门阵列(field programmable gate array,FPGA)等。再如,当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(centralprocessing unit,CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上***(system-on-a-chip,SOC)的形式实现。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘solid state disk(SSD))等。
图9为本申请实施例提供的一种攻击流量识别设备的结构示意图,如图9所示,本实施例的攻击流量识别设备可以包括处理器21和存储器22,
其中,存储器22用于存储处理器21的可执行指令。
处理器21配置为经由执行可执行指令来执行上述方法实施例中的攻击流量识别方法。
可选地,存储器22既可以是独立的,也可以跟处理器21集成在一起。
当存储器22是独立于处理器21之外的器件时,本实施例的攻击流量识别设备还可以包括:
总线23,用于连接存储器22和处理器21。
可选地,本实施例的攻击流量识别设备还可以包括:通信接口24,该通信接口24可以通过总线23与处理器21连接。
本申请还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,当其在计算机上运行时,使得计算机执行如上述实施例的攻击流量识别方法。
本申请实施例还提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现如上实施例中的攻击流量识别方法。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (8)
1.一种攻击流量识别方法,其特征在于,所述方法应用于攻击流量识别装置,所述攻击流量识别装置包括第一处理器和第二处理器,所述方法包括:
第一处理器对接收到的业务流量进行流量学习,并根据预设的流量识别模型对接收到的业务流量进行识别;
所述第一处理器若识别出异常流量,将流量识别阈值发送至所述第二处理器,并将待识别流量牵引至第二处理器,所述流量识别阈值为所述第一处理器对所述异常流量和接收到所述异常流量之前的预设时间段内接收到的业务流量进行流量学习得到,所述待识别流量包括所述异常流量或源地址与所述异常流量的源地址相同的业务流量;
所述第二处理器对检测时间内接收到的至少一条所述待识别流量进行统计,得到每条所述待识别流量的统计信息;
所述第二处理器将每条所述待识别流量的统计信息存储在缓存中,其中,所述缓存包括第一缓存区和第二缓存区;
所述第二处理器从所述第一缓存区和所述第二缓存区中查找当前状态为可写入状态的第一目标缓存区;
所述第二处理器将所述检测时间内接收到的每条所述待识别流量的统计信息存储在所述第一目标缓存区中;
所述第二处理器设置所述第一目标缓存区的标志位为第一标志位,所述第一标志位用于指示所述第一目标缓存区的状态为可读状态;
所述第二处理器根据每条所述待识别流量的统计信息和所述流量识别阈值,识别每条所述待识别流量是否是攻击流量。
2.根据权利要求1所述的方法,其特征在于,所述第二处理器对检测时间内接收到的至少一条所述待识别流量进行统计,得到每条所述待识别流量的统计信息,包括:
所述第二处理器对检测时间内接收到的至少一条所述待识别流量建立流表,所述流表中包括每条所述待识别流量的五元组信息、每条所述待识别流量的类型和所述流表建立时间;
所述第二处理器对所述流表中的每条所述待识别流量进行统计,得到每条所述待识别流量的统计信息,所述统计信息包括构成每条所述待识别流量的至少一个报文中每个报文的统计值。
3.根据权利要求2所述的方法,其特征在于,所述第二处理器根据每条所述待识别流量的统计信息和所述流量识别阈值,识别每条所述待识别流量是否是攻击流量,包括:
所述第二处理器依次读取所述缓存中存储的每条所述待识别流量的统计信息,对于每条所述待识别流量的统计信息,将所述待识别流量的统计信息与所述流量识别阈值进行比对,所述流量识别阈值包括至少一个攻击类型的阈值;
若构成所述待识别流量的至少一个报文中有一个或多个报文的统计值大于或等于对应的攻击类型的阈值,则确定所述待识别流量是攻击流量;
若构成所述待识别流量的至少一个报文中所有报文的统计值均小于对应的攻击类型的阈值,则确定所述待识别流量是正常流量。
4.根据权利要求3所述的方法,其特征在于,所述第二处理器依次读取所述缓存中存储的每条所述待识别流量的统计信息,包括:
所述第二处理器依次读取当前状态为可读状态的所述第一目标缓存区中存储的每条所述待识别流量的统计信息,在读取完后设置所述第一目标缓存区的标志位为第二标志位,所述第二标志位用于指示所述第一目标缓存区的状态为可写状态。
5.根据权利要求1所述的方法,其特征在于,所述第二处理器对检测时间内接收到的至少一条所述待识别流量进行统计,包括:
所述第二处理器获取黑名单和白名单;
所述第二处理器将所述检测时间内接收到的至少一条所述待识别流量中命中所述黑名单的待识别流量丢弃,将命中所述白名单的待识别流量透传,所述命中黑名单的待识别流量为五元组信息与所述黑名单中的任一五元组信息相同的待识别流量,所述命中白名单的待识别流量为五元组信息与所述白名单中的任一五元组信息相同的待识别流量;
所述第二处理器对所述检测时间内接收到的至少一条所述待识别流量中未命中所述黑名单和所述白名单的待识别流量进行统计。
6.一种攻击流量识别装置,其特征在于,包括:第一处理器和第二处理器;
所述第一处理器用于:
对接收到的业务流量进行流量学习,并根据预设的流量识别模型对接收到的业务流量进行识别;
若识别出异常流量,将流量识别阈值发送至所述第二处理器,并将待识别流量牵引至第二处理器,所述流量识别阈值为所述第一处理器对所述异常流量和接收到所述异常流量之前的预设时间段内接收到的业务流量进行流量学习得到,所述待识别流量包括所述异常流量或源地址与所述异常流量的源地址相同的业务流量;
所述第二处理器用于:
根据所述第二处理器对检测时间内接收到的至少一条所述待识别流量进行统计,得到每条所述待识别流量的统计信息;
所述第二处理器将每条所述待识别流量的统计信息存储在缓存中,其中,所述缓存包括第一缓存区和第二缓存区;
所述第二处理器从所述第一缓存区和所述第二缓存区中查找当前状态为可写入状态的第一目标缓存区;
所述第二处理器将所述检测时间内接收到的每条所述待识别流量的统计信息存储在所述第一目标缓存区中;
所述第二处理器设置所述第一目标缓存区的标志位为第一标志位,所述第一标志位用于指示所述第一目标缓存区的状态为可读状态;
所述第二处理器根据每条所述待识别流量的统计信息和所述流量识别阈值,识别每条所述待识别流量是否是攻击流量。
7.一种攻击流量识别设备,其特征在于,包括:
第一处理器和第二处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述第一处理器和第二处理器配置为经由执行所述可执行指令来执行权利要求1-5任一项所述的攻击流量识别方法。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-5任一项所述的攻击流量识别方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110938516.0A CN113890746B (zh) | 2021-08-16 | 2021-08-16 | 攻击流量识别方法、装置、设备以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110938516.0A CN113890746B (zh) | 2021-08-16 | 2021-08-16 | 攻击流量识别方法、装置、设备以及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113890746A CN113890746A (zh) | 2022-01-04 |
CN113890746B true CN113890746B (zh) | 2024-05-07 |
Family
ID=79011085
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110938516.0A Active CN113890746B (zh) | 2021-08-16 | 2021-08-16 | 攻击流量识别方法、装置、设备以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113890746B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114338233A (zh) * | 2022-02-28 | 2022-04-12 | 北京安帝科技有限公司 | 基于流量解析的网络攻击检测方法和*** |
CN114584623B (zh) * | 2022-03-10 | 2024-03-29 | 广州方硅信息技术有限公司 | 流量请求清理方法、装置、存储介质以及计算机设备 |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101299724A (zh) * | 2008-07-04 | 2008-11-05 | 杭州华三通信技术有限公司 | 流量清洗的方法、***和设备 |
CN101924764A (zh) * | 2010-08-09 | 2010-12-22 | 中国电信股份有限公司 | 基于二级联动机制的大规模DDoS攻击防御***及方法 |
CN102457489A (zh) * | 2010-10-26 | 2012-05-16 | 中国民航大学 | 低速率拒绝服务LDoS攻击、检测和防御模块 |
CN105187411A (zh) * | 2015-08-18 | 2015-12-23 | 福建省海峡信息技术有限公司 | 一种分布式异常检测网络数据流的方法 |
CN106294546A (zh) * | 2016-07-22 | 2017-01-04 | 北京英诺威尔科技股份有限公司 | 一种内存存储特定设备端口状态数据的方法 |
CN108234516A (zh) * | 2018-01-26 | 2018-06-29 | 北京安博通科技股份有限公司 | 一种网络泛洪攻击的检测方法及装置 |
CN109391599A (zh) * | 2017-08-10 | 2019-02-26 | 蓝盾信息安全技术股份有限公司 | 一种基于https流量特征分析的僵尸网络通讯信号的检测*** |
CN109495504A (zh) * | 2018-12-21 | 2019-03-19 | 东软集团股份有限公司 | 一种防火墙设备及其报文处理方法以及介质 |
CN109635564A (zh) * | 2018-12-07 | 2019-04-16 | 深圳市联软科技股份有限公司 | 一种检测暴力破解行为的方法、装置、介质及设备 |
CN110377491A (zh) * | 2019-07-10 | 2019-10-25 | ***股份有限公司 | 一种数据异常检测方法及装置 |
CN110716695A (zh) * | 2019-09-12 | 2020-01-21 | 北京浪潮数据技术有限公司 | 一种节点日志的存储方法、***、电子设备及存储介质 |
CN113132654A (zh) * | 2020-01-10 | 2021-07-16 | 西安诺瓦星云科技股份有限公司 | 多视频源拼接处理方法及装置和视频拼接器 |
CN113194086A (zh) * | 2021-04-27 | 2021-07-30 | 新华三信息安全技术有限公司 | 一种防攻击的方法及设备 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110138463A1 (en) * | 2009-12-07 | 2011-06-09 | Electronics And Telecommunications Research Institute | Method and system for ddos traffic detection and traffic mitigation using flow statistics |
US11265336B2 (en) * | 2019-03-28 | 2022-03-01 | Red Hat, Inc. | Detecting anomalies in networks |
US11558408B2 (en) * | 2019-05-03 | 2023-01-17 | EMC IP Holding Company LLC | Anomaly detection based on evaluation of user behavior using multi-context machine learning |
-
2021
- 2021-08-16 CN CN202110938516.0A patent/CN113890746B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101299724A (zh) * | 2008-07-04 | 2008-11-05 | 杭州华三通信技术有限公司 | 流量清洗的方法、***和设备 |
CN101924764A (zh) * | 2010-08-09 | 2010-12-22 | 中国电信股份有限公司 | 基于二级联动机制的大规模DDoS攻击防御***及方法 |
CN102457489A (zh) * | 2010-10-26 | 2012-05-16 | 中国民航大学 | 低速率拒绝服务LDoS攻击、检测和防御模块 |
CN105187411A (zh) * | 2015-08-18 | 2015-12-23 | 福建省海峡信息技术有限公司 | 一种分布式异常检测网络数据流的方法 |
CN106294546A (zh) * | 2016-07-22 | 2017-01-04 | 北京英诺威尔科技股份有限公司 | 一种内存存储特定设备端口状态数据的方法 |
CN109391599A (zh) * | 2017-08-10 | 2019-02-26 | 蓝盾信息安全技术股份有限公司 | 一种基于https流量特征分析的僵尸网络通讯信号的检测*** |
CN108234516A (zh) * | 2018-01-26 | 2018-06-29 | 北京安博通科技股份有限公司 | 一种网络泛洪攻击的检测方法及装置 |
CN109635564A (zh) * | 2018-12-07 | 2019-04-16 | 深圳市联软科技股份有限公司 | 一种检测暴力破解行为的方法、装置、介质及设备 |
CN109495504A (zh) * | 2018-12-21 | 2019-03-19 | 东软集团股份有限公司 | 一种防火墙设备及其报文处理方法以及介质 |
CN110377491A (zh) * | 2019-07-10 | 2019-10-25 | ***股份有限公司 | 一种数据异常检测方法及装置 |
CN110716695A (zh) * | 2019-09-12 | 2020-01-21 | 北京浪潮数据技术有限公司 | 一种节点日志的存储方法、***、电子设备及存储介质 |
CN113132654A (zh) * | 2020-01-10 | 2021-07-16 | 西安诺瓦星云科技股份有限公司 | 多视频源拼接处理方法及装置和视频拼接器 |
CN113194086A (zh) * | 2021-04-27 | 2021-07-30 | 新华三信息安全技术有限公司 | 一种防攻击的方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN113890746A (zh) | 2022-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210344714A1 (en) | Cyber threat deception method and system, and forwarding device | |
CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
US10148573B2 (en) | Packet processing method, node, and system | |
CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn***的工作方法 | |
US11671402B2 (en) | Service resource scheduling method and apparatus | |
WO2016101783A1 (zh) | 一种攻击数据包的处理方法、装置及*** | |
US9602428B2 (en) | Method and apparatus for locality sensitive hash-based load balancing | |
US9398027B2 (en) | Data detecting method and apparatus for firewall | |
CN113890746B (zh) | 攻击流量识别方法、装置、设备以及存储介质 | |
JP2009534001A (ja) | 悪質な攻撃の検出システム及びそれに関連する使用方法 | |
CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
US9888033B1 (en) | Methods and apparatus for detecting and/or dealing with denial of service attacks | |
US20180309726A1 (en) | Packet cleaning method and apparatus | |
US20200213238A1 (en) | Hierarchical pattern matching devices and methods | |
CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
JP2015231131A (ja) | ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 | |
US11991522B2 (en) | Apparatus and method for traffic security processing in 5G mobile edge computing slicing service | |
Sanjeetha et al. | Mitigation of controller induced DDoS attack on primary server in high traffic scenarios of software defined networks | |
US11736514B2 (en) | Suppressing virus propagation in a local area network | |
KR102046612B1 (ko) | Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법 | |
CN111490989A (zh) | 一种网络***、攻击检测方法、装置及电子设备 | |
US12003530B2 (en) | Suppressing virus propagation in a local area network | |
US20240223584A1 (en) | Method for identifying source address of packet and apparatus | |
WO2023160693A1 (zh) | 一种攻击阻断方法及相关装置 | |
WO2015196799A1 (zh) | 报文处理方法、装置及线卡 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |